Biometrie im Test

Bioid Client/Server

Mit Gesicht, Stimme und der Lippenbewegung beim Sprechen identifiziert "Bioid" von der Berliner Bioid AG einen Computernutzer anhand dreier Merkmale. Und zwar nicht "sequentiell", nach Art der meisten multimodalen Lösungen, sondern "parallel". Das heißt, die verschiedenen Merkmale werden in einem einzigen Identifikationsvorgang geprüft und nicht durch einen langwierigen Prozess aus drei aufeinander folgenden Erkennungsvorgängen. Elegant auch, dass hierfür nur eine einzige Sensorkomponente benötigt wird. In unserem Fall eine PC-Kamera von Philips mit eingebautem Mikrofon, die unter Windows 2000 über die USB-Schnittstelle angeschlossen wird. Für Windows NT benötigt man eine Framegrabber-Karte. Anfängliche Probleme mit dem beiliegenden Kamera-Treiber wurden mit dem Download einer aktuellen Version behoben. Das Softwarepaket ist dreiteilig. Die Server-Software und einen so genannten Configuration Manager installierten wir auf unserem Administratorrechner, die Client-Software auf einem Arbeitsplatzrechner.

Mit dem Configuration Manager steht dem Administrator ein übersichtliches Werkzeug zur Verfügung, mit dem er das Enrollment neuer Anwender auch aus der Ferne durchführen kann. Auf dem Monitor des Clients erscheint dann eine Meldung, die den Benutzer zur Mitarbeit auffordert. Ist dieser bereit, wird er als nächstes gebeten, in die Kamera zu sehen und fünfmal seinen Namen zu nennen. Anschließend sind die Aufnahmen vom Administrator zu überprüfen. Wurden die notwendigen Ausschnitte des Gesichts erfasst und die aufgenommenen Stimmfrequenzen nicht durch knallende Türen gestört, legt der Systemverwalter die Benutzerdaten an und weist ihm das Muster zu. Danach muss er ein so genanntes Datenbanktraining starten, das die charakteristischen Unterschiede aller angelegten Benutzer im Merkmalsraum neu berechnet. Dieser Kalkulationsaufwand ist nach jeder Änderung der biometrischen Daten nötig, weil die Software den User anschließend nicht nur verifiziert, sondern auch ohne Kenntnis seines Benutzernamens identifiziert. Vergisst der Administrator diesen Schritt, ist eine einwandfreie Erkennung nicht mehr gewährleistet.

Nach erfolgreichem Test-Login wird am Client das Programm Bioid-Logon gestartet, um die Windows-Anmeldung künftig durch Bioid zu ersetzen. Entsprechend dem multimodalen Konzept von Bioid kann der Administrator je nach Sicherheitsanforderungen bestimmen, ob er eines der drei Merkmale bei der Anmeldung unberücksichtigt lassen will. Außerdem bietet eine Option "Summed" noch die Möglichkeit, einzelne Merkmale unterschiedlich zu gewichten. Ein Angriffspunkt im Bioid-Sicherheitskonzept könnte der Configuration Manager sein, der von jedermann aufgerufen werden kann, wenn er nicht vom Administrator in einem geschützten Verzeichnis abgelegt wird. Der ohnehin große Administrationsaufwand wird noch zusätzlich dadurch erhöht, dass die vorhandene Domänen-Struktur nicht übernommen wird.